Entradas

Lo más visto del 2010 en Hackplayers
Bueno, este es sin duda el último post del 2010 y queríamos despedirlo mostrando las 50 páginas y entradas más vistas de Hackplayers durante el mismo, según las estadísticas de…

Reto 9: Android crackme#1
Tal y como os anunciábamos a través del blog y nuestro twitter , he estado preparando un pequeño crackme para Android . Se trata de una aplicación con una simple pantalla de log…

Captan el movimiento de un fantasma con Kinect
Desde su aparición, el revolucionario sensor de movimientos de Microsoft está continuamente siendo investigado a fin de que pueda usarse en otros proyectos y no solo en la consola…

Un regalo de Navidad inesperado
La mañana de Navidad muchos se despertaron antes para ver qué les había traído Papá Noel. Unos pocos además recibieron un regalo inesperado: el grupo de hackers creadores de "…

Ganador de la encuesta: ¿Cuál es el S.O. de tu smartphone?
Allá por el mes de octubre os planteábamos una pequeña encuesta a propósito de un artículo sobre los smartphones y el malware que se avecina . El resultado confirma el espectacula…

¡Felices fiestas!
Desde Hackplayers os deseamos a todos unas felices fiestas y un feliz año 2011. ¡Ser buenos! ;)

Liberada Secunia PSI 2.0
Recientemente se ha liberado la versión 2.0 de Secunia PSI , la herramienta libre de escaneo tanto de versiones obsoletas de software como de sus vulnerabilidades en nuestros equi…

D0z.me: el acortador de URLs malicioso
Ben Schmidt ( supernothing ), un estudiante de Universidad de Tulsa, ha creado D0z.me , un acortador de URL que además permite realizar ataques DDoS basándose en los métodos de …

Primera Copa Hacker de Facebook
Hoy se abre la inscripción para la primera Copa Hacker de Facebook , un concurso anual que pretende desafiar a los hackers de medio mundo con una serie de retos para demostrar tod…

Format String Attack III de III
Seguimos con la serie de entradas dedicadas a la técnica Format String Attack Format String Attack I de III Format String Attack II de III Format String Attack III de III Direc…

Ravan: Hash Cracking distribuido en JavaScript
Ravan de Attack & Defence Labs es un crackeador de hashes distribuido que corre en JavaScript. Con esta herramienta cualquiera puede subir un hash para crackearlo y utiliza…

Metasploit 3.5.1
Ayer se publicó la versión 3.5.1 de Metasploit cuyos aspectos más destacados son: - Muchos más exploits: SAP BusinessObjects, servidores de correo Exim, ProFTPD, despliegues …

Introducción a Format String Attack II de III
Seguimos con la serie de entradas dedicadas a la técnica Format String Attack Format String Attack I de III Format String Attack II de III Format String Attack III de III Advert…

Nuevo número de la revista "El Derecho Informatico"
La revista electrónica "El Derecho Informático" creada por la Red Iberoamericana del derecho y las nuevas tecnologías , acaba de anunciar el lanzamiento de su 5ª entrega…

LOIC: la herramienta DDoS utilizada por Anonymous
LOIC (Low Orbit Ion Cannon o Cañón de Iones de Órbita Baja) es una aplicación de pruebas de estrés en red de código abierto, escrita en C# y desarrollada por Praetox Technologies…

Puerta trasera oculta en Windows
Hoy me gustaría comentaros un error en el procesamiento del Microsoft Windows SAM que permite acceso administrativo continuo a través de un usuario oculto. El impacto del mismo a…

Introducción a Format String Attack I de III
Serie de entradas que servirán de ejemplo para explicar los Format String Attack. Format String Attack I de III Format String Attack II de III Format String Attack III de III In…

Primer aniversario de Hackplayers
Hoy hace exactamente un año que nos movimos desde nuestro antiguo blog a Hackplayers, desde el "punto es" de Hispavista al "punto com" del gigante Google, d…

Anonymous y las operaciones de castigo
Botnets "voluntarias" y a la cabeza el grupo conocido como ' Anonymous ' ha tirado la página principal de Visa en nombre de Wikileaks mediante un ataque DDoS (De…

Zero Wine 2.0: herramienta de análisis de malware
Zero wine es un interesante proyecto open source bajo licencia GPLv2 destinado al análisis dinámico de malware. Básicamente se trata de una imagen de una máquina virtual QEMU …

Las vulnerabilidades más notables del año
La revista SC Magazine ha publicado un interesante artículo con una compilación de lo mejorcito de este año con respecto a la seguridad informática. A continuación destacamos l…

Directory Path Traversal
El objetivo de un Directory Path Traversal Attack es el de conseguir acceso a ficheros o directorios que se encuentran fuera del directorio web raíz y en los que en condiciones n…

Solución al reto 8 de la nave perdida
La semana pasada os planteábamos el reto de la nave perdida , nuestro octavo reto de este año y el primero que utiliza el API de Google Maps . El objetivo era obtener las coorden…

Nuevo número de Hakin9: Botnets, Malware, Spyware – cómo contratacar
Comenzamos diciembre con un nuevo e interesante número del magazine gratuito Hakin9 (Vol.5 No.11 ). Este mes podremos encontrar los siguientes contenidos: Habituales En general…

Armitage v.11.25.10
Con anterioridad en este blog hemos hablado del famoso framework de explotación Metasploit . Hoy queremos presentaros su herramienta amiga Armitage y su nueva versión. ¿Que es A…

Liberado "Nemesis" BackTrack 4 R2
¡Acaba de publicarse "Nemesis", la nueva versión de BT4 R2!. Las novedades más importantes son: - Kernel 2.6.35.8 - mac80211 stack mejorado - Soporte para USB 3.0 - Com…

Auditoría de contraseñas en Oracle
Sebastián Guerrero Selma nos envía una magnífica contribución sobre auditoría de claves en base de datos Oracle. En concreto es un paper donde se trata el mecanismo de almacenami…

Nuevo 0-day UAC bypass
Si el pasado 20 de noviembre se hizo público en Exploit Database una vulnerabilidad utilizada por Stuxnet para elevar privilegios mediante un fallo en el programador de tareas de…

Reto 8: la nave perdida
"24 de noviembre de 2010, testigos de numerosos países informan del avistamiento de una gran bola de fuego cruzando el cielo desde el oeste. Cientos de medios cubren la notic…

A punto de emerger Ares, el nombrado sucesor de ZeuS
Expertos de G Data advierten de la aparición de un nuevo troyano, de nombre Ares, con un diseño modular similar a ZeuS. La configuración de Ares permitirá a los ciberdelincuentes…

Solución al reto 7 de la caja fuerte
Sin duda una de las cosas que más me gusta cuando desarrollo retos es que siempre recibimos (y aprendemos) varias formas de solucionarlos. El reto de la caja fuerte no fue una ex…

Phrack celebra su 25 aniversario con un nuevo número
"El mayor truco del Diablo fue convencer al mundo de que nunca existió" --- Verbal Kint Hablar de Phrack es hablar de uno de los ezines más importantes del panora…

Sangria, tapas and hackers
Esta vez el curioso título del post es debido al nombre de un artículo dentro del nuevo número de la revista (IN)SECURE Magazine donde Berislav Kucan cubre la conferencia SOURCE …

Katana 2.0: suite de seguridad portable y multi-arranque
Recientemente se ha publicado la versión 2.0 de Katana , una suite de seguridad multi-arranque que incluye las mejores distribuciones y aplicaciones portables actuales para ejecut…

Continúa la campaña Zeus
Continuamos recibiendo nuevos correos electrónicos con el infame troyano. En esta ocasión un mensaje de una atractiva candidata que nos solicita que revisemos su CV con un dudoso …

Reto 7: la caja fuerte
Si habéis visto Operación Swordfish (2001) , recordaréis la escena en que Stanley Jobson fue obligado a hackear una computadora del NSA en menos de un minuto y con una atractiva …

"DEP" Disponibilidad y políticas
Tras las últimas noticias sobre el nuevo 0day de Internet Explorer , una de las opciones para protegernos es activar DEP (Data Execution Prevention). ¿Cuáles son los requisitos p…

Pastores vs. Ovejas
Recientemente se ha armado cierto revuelo por la aparicion de FireSheep , al que nuestro querido vmotos ha dedicado su atencion. Para tener bajo control una "oveja de fuego&…

Nuevo 0-day en IE: corrupción de memoria manejando tags CSS
Microsoft publicó ayer un aviso de seguridad sobre un nuevo 0-day descubierto recientemente en su navegador y que podría permitir la ejecución remota de código arbitrario. Las v…

¿Por dónde se mueve Pamela Anderson?
Hace dos semanas se puso en marcha el sitio JustSpooted ("recién visto" en castellano), una red social que orienta a fans y paparazzi sobre la localización física de f…

Nuevo número de Hakin9: Spyware, siempre hay alguien observando...
Llega noviembre, el frío, la lluvia... momento para estar tranquilamente en el sofá de casa y echar un vistazo al nuevo número de Hakin9 (Vol.5 No.10) . Este mes podremos leer: H…

Evilgrade 2.0: ha vuelto el framework de explotación de actualizadores
Con este título Infobyte anuncia hoy un nueva versión de Evilgrade , un framework modular de Francisco Amato que sirve fundamentalmente para comprometer equipos a través de actual…

Mozilla parchea el 0-day de Firefox en menos de 48 horas
Menos de 48 horas después de recibir el aviso de un nuevo 0-day en Firefox, Mozilla ha liberado una actualización de emergencia que parchea el problema: Firefox 3.6.12 y Firefox 3…

Extendiendo el uso de Firesheep
A estas alturas ya os habréis enterado de la controversia que ha causado Firesheep , una extensión de Firefox escrita por Eric Butler y presentada en la conferencia ToorCon 12 qu…

Smartphones y el malware que se avecina
Acabo de empezar a leer las presentaciones de la conferencia Virus Bulletin de Vancouver y he comenzado con una que me ha llamado enseguida la atención: 'Dialers are back, an…

Libro: Rootkits - Subverting the Windows Kernel
Los rootkits son backdoors que dan a un atacante el acceso permanente y prácticamente indetectable a los sistemas que explota. Ahora, dos de los principales expertos mundiales, Gr…

Otra campaña Zeus mediante correos de DHL falsos
Como ya pasó anteriormente con FedEX, UPS o el mismo DHL, Zeus nos vuelve a bombardear con nuevos scams por correo electrónico. Como podéis ver en la imágen de la derecha, el …

La hacker más sexy del mundo podría ser condenada
La estudiante rusa Kristina Svechinskaya de 21 años de edad, acusada de participar en el intento de robo de 220 millones de dólares, podría ser condenada hasta con 40 años de cárc…